Agente de Triagem de Alertas de Segurança Microsoft Security Copilot no Microsoft Defender (Pré-visualização)

  • Aplica-se a: Microsoft Defender XDR

Os Centros de Operações de Segurança (SOCs) processam grandes volumes de alertas em várias cargas de trabalho, cada uma requer contexto, sinais e profundidade de investigação diferentes. As diferenças na forma como estes alertas são avaliados podem levar a decisões de triagem inconsistentes e atrasar a capacidade de distinguir ameaças reais de alarmes falsos. Como resultado, a actividade de alto risco pode ser perdida ou atrasada, enquanto os analistas passam tempo desproporcionado a filtrar o ruído em vez de agirem sobre o que é mais importante.

O Agente de Triagem de Alertas de Segurança Microsoft Security Copilot é um agente autónomo incorporado no Microsoft Defender que ajuda as equipas de segurança a fazer a triagem de alertas em escala. Aplica o raciocínio dinâmico e orientado pela IA entre provas para dar veredictos claros para cargas de trabalho de segurança suportadas. Ao identificar quais os alertas que representam ataques reais e que são falsos positivos, o agente permite que os analistas se concentrem na investigação de ameaças reais, com um raciocínio passo a passo transparente para suportar todas as decisões.

Este artigo fornece uma descrição geral do Agente de Triagem de Alertas de Segurança, como funciona e as respetivas capacidades de triagem de alertas. Veja este vídeo para ver uma demonstração rápida:

Observação

O Agente de Triagem de Alertas de Segurança é o mesmo agente que o Agente de Triagem de Phishing, que demonstrou melhorias mensuráveis na precisão e eficiência da triagem em avaliações controladas. O agente é expandido para fazer a triagem de um conjunto mais amplo de alertas no Microsoft Defender, começando com um subconjunto de alertas de identidade e cloud. Estas capacidades expandidas estão atualmente em pré-visualização. Espera-se que o conjunto de alertas suportados aumente ao longo do tempo.

Como funciona o Agente de Triagem de Alertas de Segurança

O Agente de Triagem de Alertas de Segurança é um agente Security Copilot no Microsoft Defender que classifica e triagem alertas em cargas de trabalho e tipos de alerta suportados. As principais capacidades do agente incluem:

  • Triagem autónoma: Utiliza ferramentas avançadas de IA para avaliar alertas e determinar se representam atividades maliciosas ou alarmes falsos sem necessidade de entrada humana passo a passo.
  • Lógica transparente: Regista veredictos de classificação e fornece raciocínio de apoio em linguagem natural e gráficos visuais, incluindo as provas utilizadas para chegar a cada conclusão.
  • Aprender com base nos comentários: Para tipos de alerta suportados, o agente pode incorporar comentários de analistas quando explicitamente fornecidos e aprovados para ajustar a análise do veredicto. Esta capacidade está atualmente disponível apenas para alertas de e-mail e colaboração.

Alertas suportados

O Agente de Triagem de Alertas de Segurança suporta atualmente o seguinte subconjunto de tipos de alerta no Microsoft Defender. Espera-se que o conjunto de alertas suportados aumente ao longo do tempo.

Tipo de Alerta Nome do alerta
Email e alertas de colaboração, incluindo phishing (Geralmente Disponível) Email relatado pelo usuário como malware ou pishing
Alertas na cloud, incluindo contentores (Pré-visualização)
Ver todos os alertas da cloud
  • Potenciais Utilitários de Backdoor ou Binários de Proxy Detetados (Pré-visualização)
  • Potenciais instalações de backdoor de processos em execução (Pré-visualização)
  • Possível executável detetado numa linha de comandos, codificado em Base64 (Pré-visualização)
  • Potencial execução do script de shell codificado base64 (Pré-visualização)
  • Acesso invulgar ao ficheiro de perfil do Bash
  • O servidor SSH está em execução dentro de um contentor (Pré-visualização)
  • Operações cron suspeitas na linha de comandos detetadas
  • Processo associado à extração de moeda digital detetado
  • Possível transferência do Cryptocoinminer detetada
  • O processo crypto-miner do Kubernetes é detetado (Pré-visualização)
  • Possível acesso a um conjunto de mineração de criptomoedas detetado (Pré-visualização)
  • Comportamento relacionado com a extração de moeda digital detetado
  • Possível exploração do serviço Web através do percurso transversal (Pré-visualização)
  • Detetada uma possível desativação das ferramentas de segurança (Pré-visualização)
  • Execução de desfasamento binário bloqueado no contentor (Pré-visualização)
  • Foi detetado um binário de desfasamento em execução no contentor
  • Alterações de atributos de ficheiros suspeitas com o chattr detetado (Pré-visualização)
  • Operação de compilação do Docker detetada num nó do Kubernetes (Pré-visualização)
  • Acesso ao serviço de metadados na cloud detetado
  • Possíveis Deficiências do Registo do Histórico de Comandos (Pré-visualização)
  • Possível ferramenta de ataque detetada
  • Possível ferramenta de acesso a credenciais detetada
  • Acesso ao ficheiro kubeconfig do kubelet detetado
  • Tentativa de criar um novo espaço de nomes Linux a partir de um contentor detetado
  • Ferramenta de Análise de Rede Detetada (Pré-visualização)
  • Conta adicionada ao grupo sudo
  • Utilização do domínio OAST detetado (Pré-visualização)
  • Ferramenta de teste de penetração do Kubernetes detetada (Pré-visualização)
  • Foi detetada uma possível exploração do programa baseado em Java (Pré-visualização)
  • Comando dentro de um contentor em execução com privilégios elevados
  • Monetizadores de tráfego ou Proxyware suspeitos detetados na linha de comandos
  • Injeção de comandos do React2Shell potencial detetada
  • Acesso invulgar ao ficheiro do histórico de bash
  • Shell inversa potencial detetada
  • Possível Reconhecimento Secreto Detetado
  • Detetada uma possível adulteração das configurações de segurança (Pré-visualização)
  • Detetada terminação suspeita do processo de segurança (Pré-visualização)
  • Acesso Files Sensível Detetado
  • Sha1-Hulud Campanha Detetada: Possível injeção de comandos para exfiltrar credenciais (Pré-visualização)
  • Processo visto a aceder ao ficheiro de chaves autorizadas SSH de uma forma invulgar
  • Foi detetada uma tentativa de ligação invulgar
  • Transferência de ficheiros detetada a partir de uma origem maliciosa conhecida
  • Execução suspeita de PHP detetada
  • Potencial reencaminhamento de portas para o endereço IP externo
  • Invocação do Processo Por Um Processo de Base de Dados Detetado
  • Atividade Netcat suspeita detetada num nó do Kubernetes (Pré-visualização)
  • Atividade de Adulteração de Registos Possível Detetada
  • Modificação suspeita do carimbo de data/hora do ficheiro
  • Possível shell Web maliciosa detetada
  • Pedido suspeito à API do Kubernetes
  • Atividade Do Web Shell Possível Detetada
  • Acesso suspeito ao token de identidade da carga de trabalho ou token de conta de serviço detetado
  • As permissões para executar um binário a partir de uma pasta suspeita foram concedidas após a transferência (Pré-visualização)
  • Uma linha de comandos executada num contentor contém um DNS suspeito
  • Uma linha de comandos executada num contentor contém um endereço IP suspeito
  • Microsoft Defender para execução de Software Maligno do Kubernetes na Cloud detetada (Pré-visualização)
  • Microsoft Defender para a execução de Software Maligno do Kubernetes na Cloud bloqueado (Pré-visualização)
Alertas de identidade (Pré-visualização)
Ver todos os alertas de identidade
  • Pulverização de senha
  • Possível regra de caixa de entrada relacionada com BEC
  • Conta comprometida após um ataque com spray de palavra-passe

Pré-requisitos

Estes pré-requisitos aplicam-se independentemente dos tipos de alerta que pretende que o agente faça a triagem.

Pré-requisito Detalhes
Security Copilot Capacidade aprovisionada em Unidades de Computação de Segurança (SCU). Consulte Introdução ao Security Copilot ou marcar se tem direito a SCUs como parte do modelo de inclusão Microsoft Security Copilot.
plug-ins de Security Copilot O Agente de Triagem de Alertas de Segurança ativa automaticamente estes plug-ins: Microsoft Defender XDR, Microsoft Threat Intelligence e Agente de Triagem de Alertas de Segurança. Para obter mais informações, veja Descrição geral dos plug-ins - Microsoft Security Copilot.
Regras de otimização de alertas Desative as regras de otimização que resolve os alertas que pretende que o agente faça a triagem. O agente não faz a triagem dos alertas resolvidos. Para obter mais informações, veja Otimizar um alerta.
RBAC unificado Ative o controlo de acesso baseado em funções unificado e ative as cargas de trabalho relevantes para os tipos de alerta que pretende fazer a triagem. Para obter mais informações, veja Pré-requisitos específicos da carga de trabalho.
Produtos e licenças Precisa de produtos e licenças específicos com base nos tipos de alerta que pretende que o agente faça a triagem. Para obter mais informações, veja Pré-requisitos específicos da carga de trabalho.

Pré-requisitos específicos da carga de trabalho

Os seguintes pré-requisitos dependem dos tipos de alerta que pretende que o agente faça a triagem.

Requisitos de produtos e licenças
Requisitos de RBAC unificados

Ative o Defender para Office 365 em Microsoft Defender XDR definições de RBAC unificadas. Para obter mais informações, veja Ativar cargas de trabalho nas definições de Microsoft Defender XDR.

Captura de ecrã da página Ativar controlo de acesso baseado em funções unificada a mostrar o botão de alternar defender para Office 365, que tem de ser ativado para o Agente de Triagem de Alertas de Segurança.

Configurar as definições comunicadas pelo utilizador

Ative Monitorizar mensagens comunicadas no Outlook para definir como os utilizadores comunicam mensagens potencialmente maliciosas no Microsoft Outlook e selecione qualquer uma das opções destinos de mensagens reportadas:

Captura de ecrã da página Definições comunicadas pelo utilizador a mostrar o botão relatório do Outlook e as configurações de destinos de mensagens reportadas.

Para obter mais informações, veja Utilizar o portal do Microsoft Defender para configurar as definições comunicadas pelo utilizador.

Se estiver a utilizar uma ferramenta de relatórios de e-mail de terceiros, reveja Opções para ferramentas de relatórios de terceiros e veja as opções de configuração do fornecedor para integrar mensagens comunicadas com Microsoft Defender.

Adicionar política de alertas

O Agente de Triagem de Alertas de Segurança aborda incidentes de colaboração e e-mail que incluem alertas com o tipo Email comunicados pelo utilizador como software maligno ou phish.

Certifique-se de que tem a política de alerta correspondente ativada.
Para obter mais informações, veja Políticas de alerta no portal do Microsoft Defender.

Importante

O Agente de Triagem de Alertas de Segurança não faz a triagem de alertas resolvidos através da otimização do alerta.
Confirme que desativa a Resolução Automática – Email comunicado pelo utilizador como software maligno ou regra de otimização de alertas incorporados phish e quaisquer regras de otimização personalizadas que resolve este alerta.

Permissões de utilizador necessárias

Os utilizadores que interagem com o Agente de Triagem de Alertas de Segurança precisam destas permissões:

Ação do usuário Permissões obrigatórias
Ver resultados do agente As mesmas permissões do agente (ou superior), conforme descrito em Permissões necessárias do Agente de Triagem de Alertas de Segurança.
Ver definições do agente Security Copilot (leitura) e Noções básicas de dados de segurança (leitura) no grupo Permissões de operações de segurança no portal do Defender.

OU

Administrador de Segurança no Microsoft Entra ID.
Gerir as definições do agente (configurar, colocar em pausa, remover o agente e gerir a identidade do agente) Administrador de Segurança no Microsoft Entra ID.

Estas permissões aplicam-se ao fluxo de trabalho de comentários do agente:

Ação do usuário Permissões obrigatórias
Ensinar o agente através de comentários As mesmas permissões do agente (ou superior), conforme descrito em Permissões necessárias do Agente de Triagem de Alertas de Segurança.
Ver página de comentários Security Copilot (leitura), Noções básicas de dados de segurança (leitura) e Email & metadados de colaboração (leitura) no grupo Permissões de operações de segurança no portal do Defender.

OU

Administrador de Segurança no Microsoft Entra ID.
Rejeitar comentários Administrador de Segurança no Microsoft Entra ID.

Para obter mais informações sobre o RBAC unificado no portal do Defender, veja Microsoft Defender XDR Controlo de acesso baseado em funções (RBAC) unificado.

Configurar o Agente de Triagem de Alertas de Segurança

Certifique-se de que tem as permissões de utilizador necessárias e de que todos os pré-requisitos são cumpridos antes de configurar o agente.

Iniciar a instalação

Abra o assistente de configuração do Agente de Triagem de Alertas de Segurança de uma de duas formas:

  • Na fila Incidentes no portal Microsoft Defender, selecione Configurar agente.

    Captura de ecrã da fila de incidentes com a opção de configuração do Agente de Triagem de Alertas de Segurança realçada.

  • A partir do Arquivo de Segurança no portal Microsoft Defender, conforme explicado em Implementar agentes de IA no Microsoft Defender. O agente pode aparecer como Agente de Triagem de Phishing no Arquivo de Segurança, mas é o mesmo agente.

Siga os passos no assistente de configuração, conforme descrito nas secções abaixo.

Selecionar os tipos de alerta a fazer a triagem

Selecione os tipos de alerta que pretende que o agente faça a triagem na lista de tipos de alerta suportados. As permissões e os âmbitos de dados dependem dessa seleção.

Captura de ecrã a mostrar a configuração de alertas suportados pelo agente com seleções para alertas de e-mail, nuvem e identidade e botões Continuar e Anterior.

Atribuir a identidade e as permissões do agente

O assistente de configuração orienta-o ao longo da atribuição de uma identidade ao agente e das permissões necessárias para fazer o seu trabalho.

Atribuir uma identidade

O agente necessita de uma identidade para funcionar. O assistente pede-lhe para selecionar um de dois tipos de identidade.

Captura de ecrã do ecrã Selecionar uma nova identidade no assistente de configuração do Agente de Triagem de Alertas de Segurança.

Selecione:

  • Criar uma nova identidade do agente (recomendado) – crie automaticamente um novo ID do agente Microsoft Entra. Microsoft Entra cria IDs de Agente especificamente para agentes de IA. A utilização de IDs de Agente mantém o acesso no âmbito, seguro e mais fácil de gerir. Para obter mais informações, veja O que são identidades de agente?.

    OU

  • Ligar uma conta de utilizador existente – atribua uma conta de utilizador existente como a identidade do agente. O agente herda o acesso e as permissões da conta de utilizador. Para utilizar esta opção de identidade, tem de criar a identidade manualmente e atribuir-lhe as permissões necessárias para o agente antes da configuração. Para obter informações sobre como criar uma conta de utilizador, veja Criar um novo utilizador.

    Quando ligar o agente a uma conta, recomendamos que defina uma data de expiração longa da conta e monitorize de perto a respetiva autenticação status para garantir o funcionamento contínuo do agente. Se a autenticação expirar, o agente deixa de funcionar até ser renovado.

    A identidade de utilizador especificada do agente não é compatível com PIM ou TAP porque não suportam operações em segundo plano a longo prazo.

    Dica

    Utilize uma conta de identidade dedicada com as permissões mínimas necessárias para o agente. Ao criar a conta, atribua um nome a apresentar distinto, como Agente de Triagem de Alertas de Segurança, para o identificar facilmente no portal Microsoft Defender.

    Defina políticas de acesso condicional para Security Copilot para permitir que o agente funcione com base na conta de utilizador criada para o mesmo. Para obter mais informações, veja Resolver problemas de políticas de Acesso Condicional para Microsoft Security Copilot.

Observação

Pode alterar a identidade do agente após a configuração, conforme descrito em Editar definições do agente.

Atribuir permissões

Em conformidade com o princípio dos privilégios mínimos, recomendamos que atribua a identidade do agente apenas as permissões necessárias para o Agente de Triagem de Alertas de Segurança efetuar as respetivas tarefas.

  • Se utilizar um ID de Agente, a lista pendente apenas apresenta funções na sua organização que tenham as permissões de que o agente precisa. Selecione uma função existente na sua organização ou crie automaticamente uma nova função com as permissões necessárias se ainda não tiver uma função adequada configurada.

    Captura de ecrã do ecrã Criar uma nova identidade do agente no assistente de configuração do Agente de Triagem de Alertas de Segurança.

  • Se utilizar uma conta de utilizador existente, terá de atribuir as permissões necessárias a essa identidade antes de atribuir a identidade do agente durante a configuração. Não pode fazê-lo a partir do assistente de configuração.

    Captura de ecrã do ecrã Ligar com uma conta de utilizador existente no assistente de configuração do Agente de Triagem de Alertas de Segurança

Permissões necessárias do Agente de Triagem de Alertas de Segurança

O Agente de Triagem de Alertas de Segurança requer permissões específicas para aceder aos dados necessários e executar as respetivas funções de triagem. As permissões necessárias dependem dos tipos de alerta e dos produtos associados com os quais pretende que o agente trabalhe.

Esta tabela resume as permissões e os âmbitos de dados necessários para cada tipo de alerta:

Tipo de Alerta Permissões Âmbitos de dados
alertas de colaboração e Email, incluindo phishing Security Copilot (leitura), Noções básicas de dados de segurança (leitura), Alertas (gerir), metadados de colaboração Email & (leitura), Email & conteúdo de colaboração (leitura) Microsoft Defender para Office 365
Alertas na cloud, incluindo contentores Security Copilot (leitura), Noções básicas de dados de segurança (leitura), Alertas (gerir) Microsoft Defender para Nuvem
Alertas de identidade Security Copilot (leitura), Noções básicas de dados de segurança (leitura), Alertas (gerir) Microsoft Defender para Identidade e Microsoft Defender para Aplicativos de Nuvem

Estas permissões estão no grupo Permissões de operações de segurança :

Captura de ecrã das permissões necessárias para a Triagem de Alertas

Para criar uma função manualmente:

  1. Confirme que as cargas de trabalho RBAC unificadas relevantes estão ativadas para permitir que o agente analise eficazmente os alertas com contexto abrangente. Siga os passos em Pré-requisitos específicos da carga de trabalho.

  2. Crie uma função com as permissões necessárias ou atribua uma função existente com estas permissões ao agente.

    Confirme que concede acesso à função a todas as origens de dados relevantes com base nos alertas suportados que pretende associar ao Agente de Triagem de Alertas de Segurança.

    Captura de ecrã das origens de dados necessárias para a Triagem de Alertas de Segurança

  3. Atribua a função à identidade do agente.

Importante

Depois de atribuir as permissões ao agente, certifique-se de que o grupo de utilizadores que monitoriza o agente tem permissões iguais ou superiores para supervisionar a atividade e a saída. Para tal, compare as permissões do grupo de utilizadores com o agente na página Permissões no portal Microsoft Defender.

Utilizar o Agente de Triagem de Alertas de Segurança

O agente ajuda as equipas de segurança a gerir o grande volume de alertas que as organizações recebem diariamente através da triagem automática de alertas suportados e da atualização da classificação e status em incidentes Microsoft Defender.

Acionador e fluxo do agente

Após a configuração, o Agente de Triagem de Alertas de Segurança é executado automaticamente quando é criado um alerta relevante. Em seguida, o agente analisa de forma autónoma o alerta com ferramentas de IA sofisticadas e o contexto da sua organização para determinar se a ameaça associada é maliciosa ou apenas um falso alarme.

Se o alerta for determinado como um falso alarme, o agente classifica-o como falso positivo e resolve-o em conformidade. Se o alerta for considerado malicioso, será classificado como Verdadeiro Positivo e a status do incidente associado permanecerá aberta e em curso para que um analista investigue e tome medidas adicionais.

Para cada alerta que processa, o agente fornece uma explicação detalhada do veredicto no incidente correspondente.

Colaborar com o agente

Para manter a transparência, o agente atualiza regularmente os campos de incidentes durante o processo de triagem. Quando a triagem é iniciada, o agente atribui o alerta a si próprio e adiciona uma etiqueta Agente ao incidente correspondente. Os analistas podem filtrar a fila de incidentes para ver apenas os incidentes marcados pelo agente, o que simplifica a supervisão e a atribuição de prioridades.

Dica

Também pode filtrar a fila de incidentes com o nome da identidade que atribuiu ao Agente de Triagem de Alertas de Segurança para ver os incidentes em que o agente está a trabalhar ativamente.

Quando um alerta é identificado como uma ameaça verdadeira, o Agente de Triagem de Alertas de Segurança marca-o como um Verdadeiro Positivo, permitindo que os analistas filtrem e atribuam prioridades a incidentes com base em classificações confirmadas.

Captura de ecrã da fila de incidentes filtrada pela etiqueta Agente de Triagem de Alertas de Segurança

Transparência e explicação na triagem de alertas

Para cada alerta que processa, o Agente de Triagem de Alertas de Segurança fornece uma explicação detalhada do respetivo veredicto e uma representação gráfica do fluxo de trabalho de tomada de decisão.

Para rever as conclusões do agente, siga estes passos:

  1. Selecionar um incidente na fila de incidentes.

  2. Na página do incidente, procure o Agente de Triagem de Alertas de Segurança card no painel lateral Copilot ou Tarefas, na secção Triagem de Resposta Guiada. A tarefa é marcada como concluída e atribuída ao agente. O card apresenta o veredicto do agente com base na sua classificação, destacando peças-chave de provas incriminatórias que informaram a decisão.

    Captura de ecrã da página do incidente com o Agente de Triagem de Alertas de Segurança card realçado

  3. Pode selecionar as reticências Mais ações para ver mais detalhes do alerta, copiar os detalhes de classificação do agente para a área de transferência ou gerir os comentários.

    Captura de ecrã a realçar mais opções de ações no Agente de Triagem de Alertas de Segurança card

  4. Para ver os passos que o agente tomou antes de alcançar a classificação, selecione Ver atividade do agente no Agente de Triagem de Alertas de Segurança card. Isto mostra a lógica subjacente à classificação final do agente.

    Captura de ecrã a realçar o painel Ver atividade do agente.

Ensine o contexto do agente da sua organização através de comentários

Importante

Atualmente, a opção de feedback só está disponível para alertas de colaboração e e-mail.

Para tipos de alerta suportados, os analistas podem opcionalmente fornecer feedback sobre classificações de agentes em linguagem simples e natural, sem necessidade de configurações complexas. Os utilizadores autorizados podem rever os comentários, avaliá-lo e aplicá-lo explicitamente para influenciar a forma como o agente classifica alertas semelhantes no futuro. Esta capacidade está atualmente disponível apenas para alertas de e-mail e colaboração.

Para fornecer feedback e ensinar o agente, siga estes passos:

  1. Na página do incidente, procure o Agente de Triagem de Alertas de Segurança card no painel lateral Copilot ou Tarefas, na secção Triagem de Resposta Guiada.

  2. Reveja a classificação e o raciocínio do agente apresentados no título e no conteúdo do card. Se a decisão não estiver alinhada com os critérios de classificação da sua organização, selecione Alterar classificação. Em alternativa, pode atualizar a classificação ao selecionar o alerta específico no separador Alertas e, em seguida, selecionar Gerir alerta.

    Captura de ecrã a realçar a opção Alterar classificação no Agente de Triagem de Alertas de Segurança card

  3. No painel Gerir alerta , selecione a nova classificação no menu pendente Classificação . Em seguida, indique o motivo da alteração ao preencher o campo Por que motivo alterou este campo de classificação . Este passo regista a sua entrada na página de gestão de comentários apenas para fins de auditoria. O agente não utilizará este feedback para melhorar a tomada de decisões até selecionar explicitamente Utilizar este feedback para ensinar o agente. Se optar por não utilizar este feedback para ensinar o agente, pode selecionar Guardar, o que só auditará os comentários sem o inserir na memória do agente.

    Captura de ecrã a realçar os campos de classificação e feedback no painel Gerir alerta

  4. Para aplicar o seu feedback, selecione Utilizar este feedback para ensinar o agente. Pode utilizar o guia para escrever comentários para ajudá-lo a criar entradas eficazes e, em seguida, selecionar Avaliar feedback para lhe permitir pré-visualizar a forma como o agente traduz o seu feedback numa lição e avaliar se o resultado está alinhado com a sua intenção. Além disso, a avaliação de comentários efetua verificações de segurança básicas para garantir que o feedback aplicado é relevante para o agente utilizar e não entra em conflito com os comentários anteriores.

    Observação

    Só pode fornecer feedback ao agente uma vez por alerta e este só pode ser utilizado para ensinar o agente a classificar alertas de e-mail e colaboração, especificamente ao selecionar Verdadeiro Positivo (phishing) ou Falso Positivo (não malicioso). Reveja sempre o seu feedback e verifique a resposta gerada pela IA antes de guardar a lição.

  5. Se o resultado corresponder às suas expectativas, pode optar por inserir a lição na memória do agente para influenciar as suas decisões futuras. Selecione Guardar para guardar a lição e armazená-la como uma lição na memória do agente, se aplicável. Todos os comentários são registados para fins de auditoria e as lições adicionadas à memória do agente podem ser revistas posteriormente na página de gestão de comentários.

O agente utiliza comentários armazenados para fazer a triagem e classificar alertas semelhantes no futuro. Quando é recebido um alerta relevante que corresponde às características do feedback, o agente aplica este feedback para determinar a classificação, incorporando-o como prova de suporte no processo de tomada de decisão.

Melhores práticas para escrever comentários

As lições fornecem diretrizes sistemáticas que ajudam o agente a determinar se um alerta é uma ameaça de phishing genuína ou um falso alarme. Para garantir que o agente incorpora eficazmente os seus comentários, siga estas melhores práticas ao fornecer informações ao Agente de Triagem de Alertas de Segurança:

  1. Certifique-se de que o feedback é relevante e contextual. Os comentários devem ser relativos apenas ao e-mail atualmente em análise. Também tem de estar alinhado com a classificação atualizada que atribuiu.
  2. Seja descritivo e específico. Explique claramente as características do e-mail. Forneça detalhes relevantes, como o assunto do e-mail, o corpo da mensagem, o remetente ou os destinatários, para ajudar o agente a compreender o contexto. Comentários específicos com múltiplos detalhes melhoram a eficácia.
  3. Garanta clareza e decisividade. Evite declarações vagas ou universais. Envie comentários claros e acionáveis. Utilize termos de identificação decisivos e claros.
  4. Seja consistente com os comentários anteriores. Certifique-se de que os novos comentários estão alinhados com o que foi fornecido anteriormente para evitar contradições que possam confundir o agente ou reduzir a precisão das suas decisões. Pode rever todas as entradas submetidas anteriormente na página Gestão de comentários.
  5. Reveja a interpretação do agente do seu feedback. Quando submeter comentários, verifique sempre se os comentários são traduzidos com precisão numa lição. Confirme que a lição reflete a sua intenção e mantém a consistência com a sua entrada original. Verificar a validade das respostas geradas por IA para garantir que são aplicáveis ao cenário.

Eis exemplos de como pode escrever o seu feedback no agente.

Área Exemplos de comentários bem escritos Exemplos de comentários que podem levar a falhas Comparação
Comentários sobre um remetente Qualquer e-mail que afirme ser proveniente de fornecedores de benefícios tem de ter origem em "@benefits.company.com". O remetente do 2º alerta no incidente não é legítimo. O feedback tem de estar relacionado com o e-mail no alerta atual e no respetivo contexto. Será associada à classificação escolhida (mesmo que não seja mencionada explicitamente nos comentários) e utilizada para alertas futuros semelhantes.
Comentários sobre o remetente e o corpo do e-mail Os e-mails que oferecem partilha de ficheiros ou acesso a documentos só devem ser provenientes do nosso fornecedor autorizado Contoso.com. Os e-mails que oferecem partilha de ficheiros ou acesso a documentos só devem ser provenientes dos nossos fornecedores autorizados. O feedback bem escrito indica claramente requisitos específicos (por exemplo, domínio do remetente), enquanto as referências vagas (por exemplo, "fornecedores autorizados") não contêm informações acionáveis.
Comentários sobre o assunto do e-mail Qualquer e-mail que contenha um pedido de transação de faturação não é permitido na nossa organização e é considerado phishing. Se o sujeito tiver um sentimento natural positivo, é legítimo. Os comentários descritivos e específicos podem ser validados de forma eficaz, enquanto os comentários subjetivos podem levar a resultados inesperados.
Comentários sobre o corpo do e-mail Os e-mails que pedem a verificação de credenciais devem incluir uma referência à conta ou serviço específico. Qualquer pedido genérico de "verificar a sua conta" sem detalhes deve ser tratado como phishing. Este e-mail deve ser tratado como phishing. Os comentários que incluem informações detalhadas são mais propensos a serem claramente compreendidos, enquanto o feedback sem detalhes pode ser interpretado de várias formas e pode levar a resultados imprevisíveis.
Feedback sobre um destinatário e corpo de e-mail Este e-mail foi enviado para vários funcionários e o corpo instrui os destinatários a transferirem um "anexo importante" sem descrever os respetivos conteúdos— os e-mails legítimos especificam sempre os detalhes do anexo. Os e-mails internos em massa com anexos são phishing. Os comentários que realçam detalhes específicos em falta normalmente encontrados em e-mails legítimos são mais eficazes. O feedback que contém generalizações abrangentes (e-mails em massa) ou termos vagos (como "interno") pode levar a um número excessivo de verdadeiros positivos.
Comentários sobre um destinatário e um domínio Os novos e-mails de integração de contratantes só devem ser enviados para endereços de e-mail a partir de "v-" para garantir que são direcionados para os destinatários corretos. Os e-mails do empreiteiro têm um aspeto diferente do habitual, pelo que podem ser phishing. O feedback bem escrito define claramente o formato de destinatário esperado, enquanto o feedback que é indeciso ("pode ser") e carece de critérios de identificação claros ("parece diferente do habitual" sem especificar o que é diferente), torna a deteção pouco fiável.

Resolver falhas de comentários

Quando o agente recebe o seu feedback, traduz-o numa lição. Se o agente não conseguir interpretar o feedback, uma mensagem relevante mostra o que causou a falha. Pode resolver estas falhas com base na mensagem devolvida pelo agente.

Seguem-se exemplos de falhas que poderá encontrar ao escrever comentários ao agente e como pode resolve-los.

Mensagem de falha Ação recomendada
Captura de ecrã da mensagem de erro sobre informações irrelevantes nos comentários fornecidos
Parte do feedback fornecido não pode ser abordado, uma vez que o agente não suporta atualmente este tipo de entrada e, por conseguinte, não pode ser traduzido para uma lição.		 Reescreva os seus comentários e certifique-se de que segue as melhores práticas. Selecione Avaliar feedback para tentar novamente.
Captura de ecrã da mensagem de erro sobre funcionalidades não suportadas nos comentários fornecidos
O feedback contém informações que o agente pode suportar, mas não é relevante para o e-mail em questão e, por conseguinte, não foi possível traduzir numa lição acionável para ser guardada na memória.		 Reescreva os seus comentários e certifique-se de que aborda descrições do e-mail que pode suportar. Em seguida, selecione Avaliar feedback para tentar novamente.
Captura de ecrã da mensagem de erro sobre dados em conflito nos comentários fornecidos
Os comentários fornecidos entram em conflito com os comentários anteriores fornecidos a um e-mail semelhante.		 Na página de gestão de comentários , procure o ID de feedback para ver o feedback com o qual entra em conflito. Com base na sua crítica, pode:
- Rejeitar o feedback anterior na página de gestão de comentários. Depois disso, selecione Avaliar para tentar inserir o seu feedback novamente.
- Reescreva o seu feedback fornecido de uma forma que não esteja em conflito e, em seguida, selecione Avaliar feedback para que o agente reavalie a sua nova entrada.

Observação

Pode optar por não resolve falhas de comentários. Pode deixar o seu feedback e selecionar Guardar sem selecionar a caixa para ensinar o agente. O feedback não será guardado na memória do agente e só será documentado na página de gestão de comentários para as futuras alterações de classificação de controlo.

Quando os comentários aplicáveis são aprovados e armazenados, o agente pode aplicá-lo ao processar alertas semelhantes no futuro, sujeitos às mesmas permissões e controlos.

Monitorizar e gerir o Agente de Triagem de Alertas de Segurança

Para ver as métricas do agente e gerir o agente, aceda ao Agente de Triagem de Alertas de Segurança card na fila de incidentes ou na página Agentes:

  • Para abrir diretamente a página Agente de Triagem de Alertas de Segurança, selecione Security Copilot > Agentes, procure o Agente de Triagem de Alertas de Segurança em Agentes em utilização e selecione Ir para agente.

    Esta página consiste em dois separadores: Descrição Geral e Desempenho.

    • O separador Descrição geral fornece detalhes sobre a atividade recente, a identidade, a função e a status atual do agente.

      Captura de ecrã do separador Descrição Geral na página Agente de Triagem de Alertas de Segurança.

      Selecione uma atividade na lista Atividade recente para ver detalhes sobre a investigação do agente e o fluxo de trabalho completo do agente.

      Captura de ecrã do painel de detalhes da atividade que é aberto a partir da página Agente de Triagem de Alertas de Segurança.

      Selecione Ver fluxo de trabalho completo do agente para ver uma representação gráfica do processo de tomada de decisão do agente para essa atividade específica.

      Captura de ecrã a mostrar a página completa do fluxo de trabalho do agente que é aberta a partir da página Agente de Triagem de Alertas de Segurança.

    • O separador Desempenho apresenta as principais métricas sobre a atividade do agente ao longo do tempo, incluindo a atividade diária, o tempo médio de triagem (MTTT) e o consumo de SCU.

      Captura de ecrã do separador Desempenho na página Agente de Triagem de Alertas de Segurança.

    Selecione as reticências (...) no canto superior direito da página para aceder às opções de gestão do agente, conforme descrito nas secções abaixo.

    Selecione Colocar em Pausa ou Executar para parar ou reiniciar temporariamente as atividades do agente.

  • Para abrir o Agente de Triagem de Alertas de Segurança card na fila de incidentes, selecione Investigação & resposta > Incidentes & alertas Incidentes > .

    O Agente de Triagem de Alertas de Segurança card acima da fila de incidentes mostra algumas das principais métricas do agente, incluindo Incidentes resolvidos, que são incidentes que contêm alertas que o agente classificou como ameaças verdadeiras ou alarmes falsos.

    Estes dados ajudam a demonstrar o impacto do agente e podem ser utilizados para informar conversações estratégicas mais amplas, realçar o retorno do investimento ou suportar decisões sobre o dimensionamento da automatização em toda a sua organização.

    As métricas são calculadas com base na atividade do agente, a partir do primeiro incidente registado ou dos últimos 30 dias – o que for mais recente.

    Captura de ecrã da fila de incidentes com o Agente de Triagem de Alertas de Segurança card realçado.

    Selecione Gerir agente no card para abrir a página Agente de Triagem de Alertas de Segurança, que tem mais métricas de desempenho e opções de gestão.

Editar definições do agente

Para editar as definições do agente:

  1. Selecione Security Copilot > Agentes.

  2. Procure o Agente de Triagem de Alertas de Segurança em Agentes em utilização e selecione Ir para agente.

  3. Selecione as reticências (...) > Editar agente no canto superior direito da página Agente de Triagem de Alertas de Segurança .

    A página Editar agente tem três separadores:

    • Identidade e função – altere a identidade do agente. Selecione Selecionar uma nova identidade e siga os passos descritos em Atribuir a identidade e as permissões do agente.

    • Feedback – veja e faça a gestão dos comentários submetidos pelo utilizador. Para obter mais informações, consulte Ver e gerir comentários ao agente.

    • Alertas suportados – veja quais dos tipos de alerta suportados o agente pode fazer a triagem. Para ativar ou desativar tipos de alerta específicos para o agente:

      1. Selecione Editar alertas suportados para abrir a página Alertas suportados pelo agente .

        Captura de ecrã da opção Editar alertas suportados na página Editar agente.

      2. Ative ou desative tipos de alerta individuais e selecione Atualizar.

        Captura de ecrã a mostrar a página Alertas suportados pelo agente com alternar para cada tipo de alerta.

      3. Selecione Atualizar permissões de função para aplicar as atualizações.

        Captura de ecrã a mostrar o painel alertas suportados pelo Agente com os seletores para alertas de e-mail, nuvem e identidade e o botão Atualizar realçado.

Ver e gerir comentários ao agente

O Agente de Triagem de Alertas de Segurança aprende com os comentários submetidos pelo utilizador e melhora o desempenho ao longo do tempo. Armazena comentários aplicáveis na sua memória como lições. Pode ver e gerir os comentários do Agente de Triagem de Alertas de Segurança na página comentários do Agente .

Esta página fornece uma lista completa de todos os comentários submetidos ao agente. Pode rever os principais detalhes de cada feedback, incluindo:

  • A classificação original do agente e a alteração aplicada pelo utilizador
  • O feedback original fornecido pelo utilizador ao alterar a classificação
  • A lição traduzida gerada pelo agente (se aplicável)
  • Feedback status: em utilização, não em utilização ou em conflito
  • O utilizador que forneceu o feedback
  • Data de submissão de comentários, ID de feedback, ID do alerta e o ID do incidente

Captura de ecrã da página Gestão de comentários

Esta tabela explica os estados dos comentários:

Status Descrição
Em utilização O feedback foi convertido com êxito numa lição na memória do agente e é utilizado ativamente para fazer a triagem e classificar incidentes semelhantes.
Conflito Os comentários fornecidos entraram em conflito com os comentários fornecidos anteriormente num incidente semelhante. Saiba como pode resolve falhas de comentários.
Não está a ser utilizado O feedback não foi incorporado na memória do agente ou não foi marcado pelo utilizador para ensino. As lições rejeitadas aparecem como "não em utilização" e são guardadas apenas para auditoria, não para triagem e classificação de incidentes. Para obter mais detalhes, selecione o painel de detalhes.

Dica

Os comentários só podem ser geridos individualmente. Atualmente, a gestão em massa de múltiplas entradas de comentários não é suportada.

Para ver e gerir comentários submetidos pelo utilizador:

  1. Selecione Security Copilot > Agentes, procure o Agente de Triagem de Alertas de Segurança em Agentes em utilização e selecione Ir para agente.

  2. Selecione as reticências (...) > Editar agente no canto superior direito da página. Esta ação abre a página Editar agente .

  3. Selecione Feedback no painel esquerdo para abrir a página Comentários do agente .

  4. Selecione uma entrada na lista de comentários para abrir o painel Rever comentários .

  5. Verifique os detalhes do feedback fornecido, a lição do agente, as alterações de classificação e outros detalhes importantes.

    Captura de ecrã do painel Rever comentários

  6. Para rejeitar comentários específicos, selecione Rejeitar feedback. O agente deixa de utilizar o feedback em futuras decisões de triagem.

    Observação

    Para rejeitar os comentários fornecidos, precisa da função administrador de segurança no Microsoft Entra ID.

Remover o agente

Quando remove o agente, a triagem e a classificação de novos incidentes param e todos os comentários são eliminados. No entanto, o histórico de incidentes triagemdos anteriormente é mantido para referência.

Para remover o agente:

  1. Selecione Security Copilot > Agentes, procure o Agente de Triagem de Alertas de Segurança em Agentes em utilização e selecione Ir para agente.
  2. Selecione as reticências (...) no canto superior direito da página e, em seguida, selecione Remover.

Perguntas frequentes

Seguem-se as respostas às perguntas mais frequentes sobre o Agente de Triagem de Alertas de Segurança. Para obter informações sobre as capacidades e requisitos do agente, veja as secções Como funciona o Agente de Triagem de Alertas de Segurança e os pré-requisitos deste artigo.

O que é o Agente de Triagem de Alertas de Segurança, como difere do Agente de Triagem de Phishing e como posso integrar se já estiver a utilizar o agente para fazer a triagem de alertas de phishing?

O Agente de Triagem de Alertas de Segurança é um agente de Microsoft Security Copilot autónomo no Microsoft Defender que ajuda as equipas de segurança a fazer a triagem de alertas em escala. Avalia alertas com o raciocínio orientado pela IA, chega a um veredicto e regista as suas conclusões diretamente em incidentes Microsoft Defender para ajudar os analistas a priorizar o que requer ação.

O Agente de Triagem de Alertas de Segurança é o mesmo agente que o Agente de Triagem de Phishing, expandido para a triagem de tipos de alerta adicionais para além do e-mail e da colaboração. O Agente de Triagem de Alertas de Segurança é modular . Pode escolher os tipos de alerta que pretende que o agente faça a triagem. O agente expande-se agora para alertas de identidade e cloud, começando pelos contentores, que estão atualmente em pré-visualização. Email e funcionalidades de triagem de alertas de colaboração já estão disponíveis em geral (GA). Espera-se que o conjunto de alertas suportados aumente ao longo do tempo.

Se já estiver a utilizar o Agente de Triagem de Phishing, não precisa de instalar um novo agente. O agente existente continuará a funcionar e pode ativar os tipos de alerta adicionais através da configuração. Para integrar as capacidades expandidas, reveja os pré-requisitos dos tipos de alerta adicionais e edite as definições do agente para selecionar os tipos de alerta que pretende ativar.

A configuração e o feedback da triagem de phishing existentes são transferidos automaticamente. Para obter mais informações, veja Como funciona o Agente de Triagem de Alertas de Segurança e Configurar o Agente de Triagem de Alertas de Segurança.

Quando é que o agente é acionado?

Este agente é executado automaticamente quando é detetado um novo alerta. As regras de otimização incorporadas para resolver tipos de alerta suportados serão desativadas durante a configuração.

O Agente de Triagem de Alertas de Segurança pode ser considerado fidedigno?

Microsoft AI agentes seguem diretrizes rigorosas de IA Responsável e são submetidos a análises aprofundadas para garantir a conformidade com todas as normas e salvaguardas de IA. O Agente de Triagem de Alertas de Segurança está totalmente incorporado nestes controlos. Durante a configuração, atribui uma identidade ao agente e configura-a com as permissões mínimas necessárias para a operação, garantindo que não tem permissões desnecessárias. Todas as atividades do agente são registadas em detalhe, com o fluxo completo disponível para revisão por analistas e administradores em qualquer altura. O feedback fornecido ao agente para o ajudar a adaptar-se ao ambiente da organização é registado, refletido no sistema e acessível para revisão e modificação por parte dos administradores, conforme necessário.

Como é que o agente difere de uma solução SOAR padrão?

Embora as soluções SOAR e o Agente de Triagem de Alertas de Segurança automatizem os aspetos das operações de segurança, utilizam abordagens diferentes.

Normalmente, as soluções SOAR dependem de fluxos de trabalho predefinidos baseados em regras que requerem configuração manual e manutenção contínua. Por outro lado, o Agente de Triagem de Alertas de Segurança utiliza a análise baseada em raciocínio para triagem de alertas e classificações de registos no Microsoft Defender, com supervisão humana e feedback opcional sempre que suportado.

O agente opera dentro de permissões e fluxos de trabalho definidos no Microsoft Defender e não substitui as ferramentas de investigação ou resposta existentes.

Que nível de visibilidade e controlo tenho sobre o agente?

A Microsoft fornece ferramentas para que as organizações mantenham visibilidade e controlo sobre o Agente de Triagem de Alertas de Segurança da implementação através de operações em curso. Os agentes cumprem as normas de IA Responsável (RAI) da Microsoft para fins de equidade, fiabilidade, segurança, privacidade, segurança, inclusão, transparência e responsabilidade. Os administradores configuram a identidade e os níveis de acesso do agente durante a instalação, seguindo os princípios de menor privilégio. As equipas de SEGURANÇA e TI podem autorizar ações específicas, monitorizar o desempenho e rever os resultados diretamente no Microsoft Defender. O consumo de capacidade e os limites de acesso a dados também são configuráveis pelos administradores.

O Agente de Triagem de Alertas de Segurança opera num ambiente de confiança zero. O sistema impõe políticas organizacionais a cada ação do agente ao avaliar a intenção e o âmbito de cada operação. Todas as decisões, raciocínio e ações tomadas pelo agente são documentadas de forma transparente como uma árvore de decisões no Defender e registadas nos registos de auditoria do Microsoft Purview para rastreabilidade e conformidade.

Quero experimentar o Agente de Triagem de Alertas de Segurança - como posso configurá-lo no Microsoft Defender?

Para configurar o agente, tem de ter acesso a Security Copilot no Microsoft Defender e cumprir os pré-requisitos necessários. Se ainda não tiver integrado o Security Copilot, consulte Introdução ao Security Copilot ou contacte o seu representante da Microsoft. Depois de integrar o Security Copilot, a opção de configuração do agente pode demorar algum tempo a ficar disponível no portal do Microsoft Defender.

Experimentei o Agente de Triagem de Alertas de Segurança. Como posso estimar a capacidade de SCU necessária para o agente na minha organização?

É importante garantir que a sua organização tem SCUs suficientes para uma operação de agente em bom estado de funcionamento. Para avaliar a utilização de SCU e planear a capacidade no futuro, veja a dashboard monitorização de utilização no portal do Security Copilot e marcar se tem direito a SCUs como parte do modelo de inclusão Microsoft Security Copilot. O dashboard mostra:

  • Custo por e-mail processado
  • Consumo de capacidade ao longo do tempo

Também pode exportar os dados do dashboard para o Excel para uma análise mais detalhada e filtrar apenas as operações do agente.

Depois de avaliar as suas necessidades de utilização de SCU, atualize a capacidade de SCU para a sua organização. Para obter mais informações sobre a gestão de SCUs, veja Gerir a utilização de unidades de computação de segurança no Security Copilot.

Conteúdo relacionado

  • Last updated on